技术简报:Citrix Workspace 应用程序上的无缝身份验证选项
概述
Citrix Workspace 应用程序 (CWA) 为用户提供个性化界面,允许即时访问虚拟应用程序、桌面、SaaS 和 Web 应用程序。用户可以无缝、安全地访问保持工作效率所需的所有应用程序,包括嵌入式浏览和单点登录等功能。
CWA 提供了多个身份验证选项,管理员可以在本地和云环境中根据组织中启用的身份提供商来启用。
强制登录提示
强制登录提示功能允许管理员将 CWA 配置为在用户每次访问应用程序时提示他们输入登录凭据,即使他们之前登录过并且有有效的会话也是如此。IDP 通过永久性 Cookie 存储用户凭据,以启用单点登录 (SSO) 并提供无缝的用户体验。但是,在某些情况下,管理员可能希望强制用户在每次访问 Citrix 资源时输入登录凭据,例如当用户访问敏感数据或应用程序时,或者存在安全问题时。
默认情况下,“强制登录提示”设置处于启用状态。此设置允许管理员强制 Citrix Workspace 登录改写 IdP 超时时间。如果禁用该设置,则遵守 IdP 超时。请务必注意,启用此功能会影响用户的工作效率并增加出现登录相关问题的频率。因此,请谨慎使用此设置,并且仅在出于安全或合规目的所必需的场景中使用。
在以下情况下,必须禁用“强制登录提示”设置:
- 管理员希望为通过 Web 访问 CWA 的用户(包括 HTML5 客户端)提供更长的登录寿命。例如,如果管理员将 Azure Active Directory (AAD) 设置为默认超时 14 天,则不会在浏览器中再次登录。
- CWA 将自动登录加入 AAD 的客户端设备。否则,即使启用了 SSO,CWA 也会强制提示登录。
| 类型 | CWA OS | IdP | 支持 |
|---|---|---|---|
| 强制登录提示 | 所有 CWA 版本 | 全部 | 是(默认启用) |
永久登录到 Citrix Workspace 应用程序
永久登录是 CWA 的一项功能,它允许用户即使在关闭与虚拟桌面或应用程序会话的断开连接后仍保持登录状态。这意味着用户不必在每次访问 Citrix 时都输入凭据,从而提供了更简化、更便捷的体验。
永久登录会创建一个长效的身份验证令牌,该令牌可以设置为 2 到 365 天,并存储在用户的设备上。此令牌已加密,可以配置为在设定的时间段后或用户注销 Citrix 时过期。当用户返回 CWA 时,应用程序会检查令牌,如果找到,则自动将用户重新登录。
永久登录与各种身份验证方法兼容,包括 Active Directory、LDAP 和 SAML。此功能无需用户重复输入凭据,从而帮助提高用户的工作效率,同时还通过在令牌过期或用户注销时要求进行身份验证来维护环境的安全。对于任何新配置的应用商店,默认情况下都处于启用状态,值为 30 天。
注意
在撰写本文时,身份验证超时选项可用于 CWA 客户端应用程序。不支持浏览器访问。 如果频繁的身份验证是您的环境的用例,则建议使用非活动计时器。
云应用商店中的行为
| 类型 | CWA OS | IdP | 支持 |
|---|---|---|---|
| Workspace 应用程序的长效代币(预启动 + 云应用商店) | Windows、Mac、Linux、Android、iOS | 全部 | 是 |
| ChromeOS、浏览器 + 本机 CWA、浏览器 + HTML5 | 全部 | 否 |
注意
本地商店目前不支持永久登录功能。
永久登录 VDI 会话
“永久登录 VDI 会话”选项使用户能够使用长效密码单点登录 (SSO) VDI 会话,而不必在每次访问 VDI 环境时都输入凭据。这使用户无需多次输入凭据,并简化了身份验证过程。此值设置为与 2 到 365 天内永久登录 CWA 的值相同。
需要注意的关键因素:
- 只有当 IdP 是 AD、AD+TOTP 或 Citrix Gateway 时,才能使用 SSO 登录 VDI。
- 在所有其他情况下(AAD、Okta、Google、SAML 等),都需要 Citrix 联合身份验证服务 (FAS) 。
| 类型 | CWA OS | IdP | VDA 已加入 | 支持 |
|---|---|---|---|---|
| SSO 到 VDI 会话的长效密码 | Windows、Mac、Android、iOS、Linux | AD、AD+OTP、Gateway、其余需要 FAS | AD/混合 AD | 是 |
Citrix Workspace 应用程序的非活动计
Citrix Workspace 应用程序的不活动计时器-身份验证超时选项使管理员能够在最终用户对应用程序不活动时强制执行身份验证检查。此选项用于确保合法用户使用其设备或共享设备安全访问资源。可以将不活动超时设置为小于 24 小时。
需要注意的关键行为:
- 不活动会覆盖“永久登录”体验。
- 在桌面中,用户将在非活动超时后注销。
- 在移动设备中,用户可以在非活动超时后使用生物识别身份验证,但不能注销。
| 类型 | 支持 CWA 操作系统 | 本地/云端 | 支持 |
|---|---|---|---|
| 不活动计时器 | Windows、Mac、Linux、Android、iOS、ChromeOS、浏览器 + 本机 CWA、浏览器 + HTML5 | 云 | 是 |
| Windows、Mac、Linux、Android、iOS、ChromeOS、浏览器 + 本机 CWA、浏览器 + HTML5 | 本地 | 是 |
Citrix Workspace 上的域直通支持
Citrix Workspace 的域直通支持允许用户访问虚拟桌面和应用程序,而无需向 Citrix 环境进行明确的身份验证。相反,用户可以使用其 Windows 域凭据进行身份验证并自动获得对应用程序和桌面的访问权限。
启用域直通支持后,使用域凭据登录到 Windows 台式机或笔记本电脑的用户无需重新输入凭据即可访问其 Citrix Workspace 帐户和任何关联的虚拟桌面或应用程序。这使用户无需记住多组登录信息,并简化了身份验证过程。
需要注意的必备条件和条件:
- Citrix Workspace 必须配置支持集成 Windows 身份验证的 IdP:例如 Citrix Gateway、AAD(使用 AAD Seamless SSO)、Okta、SAML 等
- 此选项在 Windows 客户端上效果最佳。
- 对于 Windows,客户端可以加入 AD 或混合 AAD。
- 也可以使用 Kerberos 配置文件配置 Linux 精简客户端。
- iOS/Mac 还有 Kerberos 配置文件的概念。此外,他们还可以使用 Intune 注册 AAD,这允许 SSO 进行 AAD。
- 用于非 Windows 客户端上的 SSO 到 VDI。FAS 是必需的。
- 如果用户使用用户名和密码登录 Windows 操作系统,则使用 SSO 到 VDI 的端到端登录到 Windows 版 CWA 是有效的。
| 端点已加入 | IdP | VDA 已加入 | SSO 到 Workspace | 单点登录到 VDA |
|---|---|---|---|---|
| AD | 本地网关 | AD | 是 | SSONsvr / FAS |
| AD | 自适应身份验证 | AD | 是 | SSONsvr / FAS |
| AD | 网关联合到另一个 IdP (AAD/Okta) | AD | 是 | SSONsvr / FAS |
| AD | Okta | AD | 是 | SSONsvr / FAS |
| 已加入 AD/混合 | AAD(带有 AAD Connect 的 AD) | AD | 是 | SSONsvr / FAS |
| AD | 任何基于 SAML 的 IdP | AD | 是 | SSONSvr / FAS |
| AD | AD | AD | 否 | 不适用 |
| AD | AD + OTP | AD | 否 | 不适用 |
| AD | AAD | AAD | 否 | 不适用 |
| AAD | 无本地 AD 的 AAD | AD | 是 | FAS |
| AAD | AAD | AAD | 是 | 用户必须输入凭证 |
| 未加入域 | 支持无密码身份验证的 IdP | AD | 否 | FAS |
备注
客户端需要可以访问 AD,Kerberos 才能正常工作。
SSONSvr 只能在客户端上使用用户名和密码运行。如果用户使用 Windows Hello 登录并希望使用无密码登录,则需要 FAS。
如果启用了 LLT 或配置了最终用户接受策略,则在云中身份验证可能不会出现无提示的情况。
建议配置 FAS,因为它适用于非 Windows 平台。
StoreFront 的域直通支持
Citrix StoreFront 的域直通支持允许用户访问虚拟桌面和应用程序,而无需向 Citrix 环境进行明确的身份验证。相反,用户可以使用其 Windows 域凭据进行身份验证并自动获得对应用程序和桌面的访问权限。
启用域直通支持后,使用域凭据登录到 Windows 台式机或笔记本电脑的用户无需重新输入凭据即可访问其 Citrix 应用程序和桌面。这提供了更流畅的用户体验,并有助于减轻 IT 支持团队的负担,否则他们将不得不管理密码重置和用户身份验证问题。
需要注意的必备条件和条件:
- 在 Windows 中配置。
- 凭证插入:医疗保健软件合作伙伴向 CWA 提供用户名和密码,以静默方式对用户进行身份验证。
- 这也适用于 Linux,并使用类似的凭证插入 SDK。 SSO 到 VDI 的工作原理与本地商店的第 7 点相同。
| 端点已加入 | StoreFront/Gateway | VDA 已加入 | SSO 到 StoreFront | 单点登录到 VDA | | ——————— | ——————- | —- | ——– |———————| | AD | StoreFront | AD | 是 | SSONsvr | | 已加入 AD/混合/Windows Hello 企业版 | StoreFront | AD | 是 | SSONsvr/FAS * | | AD | Gateway - 高级身份验证 | AD | 是 | SSONSvr | | AD | Gateway - 基本身份验证 | 是 | SSONSvr |
注意
需要注册表才能启用 SSO
智能卡/派生凭证支持
智能卡身份验证和派生凭据身份验证都是向 CWA 进行身份验证和登录此选项支持的 VDI 会话的方法。
智能卡身份验证涉及使用包含用户数字身份信息(例如公钥证书或私钥)的物理智能卡。当用户将智能卡插入读卡器时,读卡器读取数字身份信息并将其发送到 CWA 进行身份验证。这种方法可确保比传统的用户名和密码身份验证更高的安全性,因为智能卡不容易被复制或被盗。
另一方面,派生凭证身份验证使用移动设备对用户进行身份验证。当用户在其移动设备上登录 CWA 时,设备会根据其数字身份信息生成派生凭证。然后将派生的凭据发送到 CWA 进行身份验证,而不是发送给用户的物理智能卡。这种方法为用户提供了更高的便利性,因为他们无需携带单独的智能卡即可使用移动设备进行身份验证。
无密码身份验证(工作区)
| 类型 | CWA OS | IdP | 启动前支持 | 启动后 SSO 到 VDA(引脚缓存) | 会话中智能卡的使用情况 |
|---|---|---|---|---|---|
| 智能卡 | Windows | 本地网关/AD/AAD | 是 | 否 | 是 |
| 使用本机 CWA 的浏览器 | 本地网关/AD/AAD | 是 | 否 | 是 | |
| 带有 HTML5 的浏览器 | 本地网关/AD/AAD | 否 | 否 | 否 | |
| Mac | 本地网关/AD/AAD | 否 | 否 | 是 | |
| Linux | 本地网关/AD/AAD | 否 | 否 | 是 | |
| ChromeOS | 本地网关/AD/AAD | 是 | 否 | 是 | |
| iOS | 本地网关/AD/AAD | 否 | 否 | 是 | |
| Android | 本地网关/AD/AAD | 否 | 否 | 是 | |
| 派生凭据 | iOS | 本地网关/AD/AAD | 否 | 否 | 是的 ** |
| Android | 本地网关/AD/AAD | 否 | 否 | 否 |
备注
任何支持通过联合身份验证的智能卡身份验证的 IdP 都可以支持 SSO。
只有 Purebred 才支持 iOS。
无密码身份验证 (StoreFront)
| 通过身份验证 | 操作系统 | 启动支持 | StoreFront 登录支持 | Gateway - 基本身份验证 | Gateway - 高级身份验证 | 会话中的智能卡 |
|---|---|---|---|---|---|---|
| 智能卡 | Windows | 预启动 | 是 | 是 | 是 | 是 |
| 浏览器 + 本机 CWA | 预启动 | 是 | 是 | 是 | 是 | |
| 浏览器 - HTML5 | 预启动 | 否 | 是 | 否 | 否 | |
| Mac | 预启动 | 是 | 是 | 是 | 是 | |
| Linux | 预启动 | 是 | 是 | 否 | 是 | |
| ChromeOS | 预启动 | 是 | 是 | 否 | 是 | |
| iOS | 预启动 | 是 | 是 | 否 | 是 | |
| Android | 预启动 | 是 | 是 | 否 | 是 | |
| Windows | 启动后 - SSO 到 VDA(PIN 缓存) | 是 | 是 | 否 | 是 | |
| 浏览器 + 本机 CWA | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 是 | |
| 浏览器 - HTML5 | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 否 | |
| Mac | 启动后 - SSO 到 VDA(PIN 缓存) | 是 | 是 | 否 | 是 | |
| Linux | 启动后 - SSO 到 VDA(PIN 缓存) | 是 | 是 | 否 | 是 | |
| ChromeOS | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 是 | |
| iOS | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 是 | |
| Android | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 否 | |
| 派生凭据 | iOS | 预启动 | 是 | 是 | 否 | 是 |
| Android | 预启动 | 否 | 否 | 否 | 否 | |
| iOS | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 是 | |
| Android | 启动后 - SSO 到 VDA(PIN 缓存) | 否 | 否 | 否 | 否 |
FIDO2 支持 Workspace/Storefront-无密码身份验证
FIDO2 是一种身份验证标准,允许用户使用公钥加密安全方便地对在线服务进行身份验证。FIDO2 支持无密码身份验证,用户无需创建和记住密码,并降低了网络钓鱼和其他网络攻击形式的风险。
借助 CWA FIDO2 支持,用户可以享受既安全又方便的无密码身份验证体验。他们无需记住密码即可登录自己的 Citrix Workspace 帐户,从而可以更轻松地在任何地方和任何设备上安全地工作。FIDO2 支持还有助于通过降低与密码相关的网络攻击的风险来增强安全态势。
| 类型 | CWA OS | 支持的 IdP | 启动前支持 | 使用 FIDO 安全密钥登录 VDA | 在会话中使用 FIDO 安全密钥 |
|---|---|---|---|---|---|
| FIDO | Windows | 是 | 否 | 是 | |
| 使用本机 CWA 的浏览器 | 是 | 否 | 是 | ||
| 带有 HTML5 的浏览器 | 是 | 否 | 否 | ||
| Mac | 任何支持 FIDO 的 IdP | 否 | 否 | 是 | |
| Linux | 任何支持 FIDO 的 IdP | 否 | 否 | 是 | |
| ChromeOS | 任何支持 FIDO 的 IdP | 是 | 否 | 否 | |
| iOS | 任何支持 FIDO 的 IdP | 否 | 否 | 否 | |
| Android | 任何支持 FIDO 的 IdP | 否 | 否 | 否 |